Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Air gap

Verdediging

Maatregel die ervoor zorgt dat een component of computer of netwerk niet verbonden is met een ander netwerk of het Internet. Fysieke isolatie van netwerken en/of systemen.

Een air gap is een beveiligingsmaatregel waarbij een computer of netwerk fysiek volledig is gescheiden van andere netwerken, inclusief het internet. Door het ontbreken van elke digitale verbinding kan data niet via het netwerk worden gestolen of gemanipuleerd door externe aanvallers. Air gaps worden ingezet voor de bescherming van de meest kritieke systemen, zoals industriele controlesystemen in energiecentrales, militaire netwerken, financiele transactiesystemen en medische apparatuur. Het concept is simpel maar effectief: als er geen verbinding is, kan er ook geen digitale aanval plaatsvinden. Toch is een air gap geen garantie voor absolute veiligheid, want geavanceerde aanvallers hebben methoden ontwikkeld om ook air-gapped systemen te compromitteren.

De term "air gap" verwijst letterlijk naar de luchtspleet tussen het geisoleerde systeem en de buitenwereld. In een goed geconfigureerde air gap-omgeving zijn er geen netwerkverbindingen, geen wifi-adapters, geen bluetooth-modules en geen USB-poorten die ongecontroleerd toegankelijk zijn. Alle data die het geisoleerde systeem bereikt, wordt handmatig overgebracht via strikt gecontroleerde fysieke media. Voor Nederlandse organisaties die werken met vitale infrastructuur of gevoelige gegevens is een air gap een relevante verdedigingsmaatregel die past binnen een bredere defense in depth-strategie.

Hoe werkt een air gap?

Een air gap werkt door volledige fysieke isolatie te creeren tussen een beveiligd systeem en alle externe netwerken. Er bestaan twee hoofdvormen: de fysieke air gap en de logische air gap.

Bij een fysieke air gap is het systeem letterlijk niet aangesloten op enig extern netwerk. Het heeft geen ethernet-kabel naar de buitenwereld, geen wifi-antenne en geen andere draadloze communicatiemodule. Data-overdracht gebeurt uitsluitend via fysieke media zoals USB-drives, externe harde schijven of optische media, en alleen na strikte controle op malware en autorisatie. Medewerkers die data van of naar een air-gapped systeem willen verplaatsen, doorlopen een gestandaardiseerd protocol waarbij de media worden gescand in een gecontroleerde omgeving.

Een logische air gap maakt gebruik van softwarematige scheiding, zoals firewalls, VLAN's en encryptie, om netwerksegmenten van elkaar te isoleren zonder de fysieke verbinding te verbreken. Deze aanpak is flexibeler maar minder veilig dan een fysieke air gap, omdat de systemen technisch gezien nog steeds verbonden zijn en kwetsbaar kunnen zijn voor geavanceerde netwerkaanvallen. Logische air gaps worden vaak toegepast in combinatie met netwerkmonitoringtools om eventuele ongeautoriseerde communicatie snel te detecteren.

Air gap backups vormen een specifieke toepassing waarbij back-updata fysiek wordt gescheiden van het productienetwerk na het voltooien van de backup. Dit beschermt back-ups tegen ransomware, omdat aanvallers de back-updata niet kunnen versleutelen als deze offline is opgeslagen. Veel organisaties combineren air gap backups met de 3-2-1 backupregel: drie kopieen van data, op twee verschillende media, waarvan een offsite en offline.

Hoe implementeer je een air gap?

De implementatie van een air gap begint met het identificeren van de systemen die de hoogste bescherming nodig hebben. Dit zijn doorgaans de kroonjuwelen van de organisatie: systemen die bij compromittering de grootste schade veroorzaken. Niet elk systeem rechtvaardigt de operationele beperkingen van een air gap, dus een gedegen risicoanalyse is de eerste stap.

Na de selectie volgt de fysieke inrichting. Het geisoleerde systeem wordt geplaatst in een beveiligde ruimte met fysieke toegangscontrole. Alle draadloze communicatiemodules worden verwijderd of permanent uitgeschakeld. Netwerkpoorten worden fysiek geblokkeerd of verwijderd. USB-poorten worden uitgeschakeld via het BIOS of met hardware-blokkeerders, tenzij ze nodig zijn voor geautoriseerde data-overdracht.

Het operationele protocol is minstens zo belangrijk als de technische configuratie. Er moet een strikt beleid zijn voor het overzetten van data via fysieke media: wie mag data overzetten, welke media zijn toegestaan, hoe worden deze gescand op malware, en hoe wordt elke data-overdracht geregistreerd. Software-updates voor air-gapped systemen worden handmatig gedownload op een apart systeem, geverifieerd op integriteit, en vervolgens via gecontroleerde media overgezet. Dit proces is tijdintensief maar noodzakelijk om het systeem veilig en up-to-date te houden.

Best practices voor air gaps

Combineer een air gap altijd met andere beveiligingsmaatregelen. Een air gap alleen is niet voldoende, want geavanceerde aanvallers hebben technieken ontwikkeld om zelfs air-gapped systemen te compromitteren. Voorbeelden zijn de Stuxnet-worm die via USB-drives Iraanse nucleaire centrifuges infecteerde, en onderzoek dat aantoont dat data kan worden ge-exfiltreerd via elektromagnetische straling, geluidssignalen of zelfs de leds op netwerkkaarten.

Implementeer strikte fysieke beveiligingsmaatregelen rondom air-gapped systemen, inclusief toegangscontrole met badge-registratie, camerabewaking, en het verbieden van persoonlijke elektronische apparaten in de beveiligde ruimte. Zorg voor regelmatige security audits van de air gap-configuratie en de bijbehorende procedures.

Overweeg het gebruik van encryptie voor alle data op air-gapped systemen, zodat zelfs bij fysieke diefstal van opslagmedia de data onleesbaar blijft. Implementeer datadiodes voor situaties waar data in een richting moet stromen, bijvoorbeeld van een beveiligd netwerk naar een monitoringsysteem. Een datadiode laat uitsluitend uitgaand verkeer toe en maakt inkomend verkeer fysiek onmogelijk.

Houd er rekening mee dat air-gapped systemen lastiger te onderhouden zijn. Updates moeten handmatig worden toegepast, wat kan leiden tot vertraging bij kritieke beveiligingspatches. Documenteer alle procedures grondig en train het personeel dat met air-gapped systemen werkt, zodat zij de protocollen consistent volgen en geen shortcuts nemen die de beveiliging ondermijnen.

In de industriele sector is de air gap traditioneel de standaard geweest voor het scheiden van operationele technologie (OT) van IT-netwerken. Echter, door de opkomst van Industrial Internet of Things (IIoT) en de behoefte aan real-time data-uitwisseling tussen IT en OT, staan veel industriele air gaps onder druk. Organisaties moeten zorgvuldig afwegen of de operationele voordelen van connectiviteit opwegen tegen de beveiligingsrisico's die ontstaan wanneer de air gap wordt doorbroken. In veel gevallen biedt een combinatie van een logische air gap met strikte monitoring en segmentatie een werkbaar compromis tussen veiligheid en operationele efficientie.

Veelgestelde vragen over air gaps

Is een air gap 100% veilig?

Nee, een air gap biedt een hoog beveiligingsniveau maar is niet onbreekbaar. Geavanceerde aanvallen zoals Stuxnet hebben aangetoond dat air-gapped systemen via fysieke media kunnen worden geinfecteerd. Daarnaast bestaan er side-channel-aanvallen die data exfiltreren via elektromagnetische straling of geluid. Een air gap moet altijd onderdeel zijn van een breder beveiligingsconcept.

Wanneer is een air gap noodzakelijk?

Een air gap is noodzakelijk voor systemen met het hoogste risicoprofiel, zoals industriele controlesystemen (ICS/SCADA) in vitale infrastructuur, militaire command-and-control systemen, en systemen die staatsgeheimen verwerken. Ook voor backup-opslag ter bescherming tegen ransomware is een air gap sterk aan te raden.

Wat is het verschil tussen een fysieke en logische air gap?

Een fysieke air gap is een volledige hardware-scheiding zonder enige netwerkverbinding. Een logische air gap gebruikt software, firewalls en encryptie om netwerken te scheiden terwijl er technisch nog een verbinding bestaat. De fysieke variant biedt sterkere bescherming maar is minder flexibel in het dagelijks gebruik.

Hoe update je een air-gapped systeem?

Updates worden handmatig gedownload op een apart, verbonden systeem, gescand op malware, geverifieerd op integriteit via checksums, en vervolgens via gecontroleerde fysieke media overgezet naar het geisoleerde systeem. Dit proces vereist strikte procedures en getraind personeel om de integriteit van de air gap te waarborgen.

Implementeer een air gap met de juiste partner. Bekijk Network Security aanbieders op IBgidsNL.